2018/01/09(11)
-
SEH Handler 우회 공부
SafeSEH : SafeSEH는 SEH 기반 공격 시도를 실시간으로 차단해준다. /safeSEH 컴파일러 스위치를 모든 실행 가능한 모듈에 적용할 수 있다. 스택을 보호하는 대신 예외 핸들러 프레임 체인이 보호되는데, 만약 SEH 체인이 변조되면 애플리케이션은 감염된 핸들러로 점프하지 않고, 종료된다. SafeSEH는 예외 핸들링 체인이 실제 핸들러로 이동하기 전에 변조 여부를 검사한다. 버그 바운티 팁이라고도 볼 수 있겠다. 취약한 애플리케이션이 SafeSEH로 컴파일 되지 않았거나 로드 된 모듈들 중 하나 이상이 SafeSEH로 컴파일 되어 있지 않은 경우, 해당 모듈 또는 애플리케이션 "DLL 파일"에서 POP/POP/RET 주소를 가져온다. Garget : pop pop ret , call eb..
2018.01.09 -
SEH Handler 공부
SafeSEH : SafeSEH는 SEH 기반 공격 시도를 실시간으로 차단해준다. /safeSEH 컴파일러 스위치를 모든 실행 가능한 모듈에 적용할 수 있다. 스택을 보호하는 대신 예외 핸들러 프레임 체인이 보호되는데, 만약 SEH 체인이 변조되면 애플리케이션은 감염된 핸들러로 점프하지 않고, 종료된다. SafeSEH는 예외 핸들링 체인이 실제 핸들러로 이동하기 전에 변조 여부를 검사한다. 버그 바운티 팁이라고도 볼 수 있겠다. 취약한 애플리케이션이 SafeSEH로 컴파일 되지 않았거나 로드 된 모듈들 중 하나 이상이 SafeSEH로 컴파일 되어 있지 않은 경우, 해당 모듈 또는 애플리케이션 "DLL 파일"에서 POP/POP/RET 주소를 가져온다. Garget : pop pop ret , call eb..
2018.01.09 -
SEH 기초공부 1
보호되어 있는 글입니다.
2018.01.09 -
실습 3-1 연습문제
기초 동적 분석 도구를 이용해 Lab03-01.exe파일에서 발견된 악성코드를 분석하라. Q : 악성코드의 임포트 함수와 문자열은 무엇?우선, Process Explorer의 Strings로 살펴본 결과 임포트 함수는 ExitProcess 밖에 없었고,문자열은 엄청나게 많으며 난독화도 되어있지 않았다. 임포트 함수를 확실히 보기 위해 정적도구 STRINGS를 이용하였다. 추가적으로 파일에 담아서 보기 위함도 있다. !This program cannot be run in DOS mode.Rich.text`.dataExitProcesskernel32.dllws2_32A)|-~_"p7cks=uttp=cks=CONNECT %s:%i HTTP/1.0QSRW?503 200 PWWthj@hPWWVSWRQYZ_[^f5..
2018.01.09 -
day 02 동적분석 기초
보호되어 있는 글입니다.
2018.01.09 -
DAY01 가상머신에서의 악성코드 분석 방법
보호되어 있는 글입니다.
2018.01.09